Nordkoreanische Hacker veröffentlichen 26 schädliche npm-Pakete

Eine neue Bedrohung in der Lieferkette versetzt Entwickler in Alarmbereitschaft. Sicherheitsexperten warnen, dass nordkoreanische Hacker 26 bösartige Pakete in das npm-Register hochgeladen haben. Ziel ist es, Entwicklerrechner zu infizieren und sensible Daten zu stehlen.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

Die am 3. März vom GoPlus-Community geteilte Warnung bringt die Kampagne mit der bekannten Hackergruppe „Famous Chollima“ in Verbindung. Dem Bericht zufolge verbergen die Pakete einen Remote-Access-Trojaner (RAT), der während der Installation aktiviert wird. Der Vorfall verdeutlicht die wachsenden Risiken in Open-Source-Ökosystemen – insbesondere für Web3- und Krypto-Entwickler.

Bösartige Pakete verstecken sich im offenen Code

Forscher zufolge veröffentlichten die Angreifer 26 gefälschte Pakete, die legitime Entwickler-Tools nachahmen. Dabei handelt es sich vor allem um Linting- und Utility-Bibliotheken. Jedes Paket enthält ein install.js-Skript, das bei der Installation automatisch ausgeführt wird. Sobald es aktiviert ist, startet das Skript versteckten Code in „vendor/scrypt-js/version.js“. Dieser Code lädt unbemerkt einen Remote-Access-Trojaner von einer schädlichen URL herunter.

Da npm-Installationen häufig automatisch in Entwicklungsumgebungen ablaufen, bemerken viele Nutzer die Infektion möglicherweise nicht. Sicherheitsexperten betonen, dass diese Taktik besonders effektiv ist, weil sie reguläre Entwickler-Workflows ausnutzt. Kurz gesagt: Die Schadsoftware tarnt sich als gewöhnliches Tooling.

Was kann die Schadsoftware?

Der integrierte RAT verschafft Angreifern weitreichenden Zugriff auf infizierte Systeme. Laut der GoPlus-Warnung kann die Malware mehrere gefährliche Aktionen ausführen. Sie protokolliert Tastatureingaben, stiehlt Zwischenablage-Daten und sammelt Browser-Zugangsdaten. Zudem durchsucht sie Systeme mithilfe von TruffleHog nach offengelegten Geheimnissen. In schwerwiegenderen Fällen versucht sie, Git-Repositories und SSH-Schlüssel zu entwenden.

Für Krypto-Entwickler ist das Risiko besonders hoch. Gestohlene Schlüssel oder Zugangsdaten könnten direkt zu Wallet-Kompromittierungen oder Projektübernahmen führen. Entsprechend stufen Sicherheitsteams diese Kampagne als schwerwiegend ein.

Verbindungen zur Gruppe Famous Chollima

Ermittler ordnen die Aktivitäten der nordkoreanischen Hackeroperation „Famous Chollima“ zu. Die Gruppe wird von Sicherheitsfirmen seit mindestens 2018 beobachtet. Sie hat eine Historie gezielter Angriffe auf Entwickler, Krypto-Projekte und Finanzplattformen.

Jüngste Analysen deuten darauf hin, dass die Kampagne fortgeschrittene Verschleierungstechniken einsetzt. Einige Berichte erwähnen Steganografie-Methoden, bei denen Command-and-Control-Daten in scheinbar harmlosen Texten versteckt werden. Zudem ist die Malware-Infrastruktur offenbar über mehrere Hosting-Dienste verteilt, was Abschaltungen erschwert. Dieses Muster entspricht früheren nordkoreanischen Operationen, die auf langfristige Infiltration statt auf schnelle Angriffe setzen.

Entwickler sollen wachsam bleiben

Sicherheitsexperten raten Entwicklern, Paketquellen vor der Installation von Abhängigkeiten sorgfältig zu prüfen. Selbst kleine Projekte können zum Einfallstor für größere Lieferkettenangriffe werden. GoPlus warnte Nutzer ausdrücklich davor, die markierten Pakete zu installieren, und empfiehlt eine gründliche Überprüfung der Abhängigkeitsbäume. Teams sollten zudem Lockfiles, Audit-Tools und Laufzeitüberwachung aktivieren.

Der Vorfall ist eine weitere Erinnerung daran, dass Open-Source-Ökosysteme ein bevorzugtes Ziel staatlich unterstützter Hacker bleiben. Mit dem Wachstum von Web3- und Krypto-Entwicklung steigen auch die Risiken. Experten zufolge bleibt grundlegende Sicherheitsdisziplin – Pakete prüfen und Vertrauen begrenzen – derzeit die wirksamste Verteidigung.